近日,我司监测到Apache发布安全公告,修复了一个存在于Apache NiFi 中的命令注入漏洞。Apache NiFi 1.10.0 到 1.16.2 和 Apache NiFi Registry 0.6.0 到 1.16.2 中的可选 ShellUserGroupProvider 不会中和组解析命令的参数,从而允许在 Linux 和 macOS 平台上注入操作系统命令。ShellUserGroupProvider 不包含在默认配置中。命令注入要求 ShellUserGroupProvider 是授权方配置中启用的用户组提供程序之一。命令注入还需要具有提升权限的经过身份验证的用户。Apache NiFi需要经过身份验证的用户授权修改访问策略以执行命令。Apache NiFi Registry 需要经过身份验证的用户授权读取用户组才能执行命令。
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。
影响版本
1.10.0 <= Apache NiFi <= 1.16.2,0.6.0 <= Apache NiFi Registry <= 1.16.2
修复建议:
官方已发布安全版本,请及时下载更新,下载地址:https://nifi.apache.org/download.html
评论已关闭。